Η Microsoft και οι μεγάλοι πάροχοι cloud αρχίζουν να λαμβάνουν μέτρα για να μετακινήσουν τους επιχειρηματικούς πελάτες τους προς πιο ασφαλείς μορφές ελέγχου ταυτότητας και την εξάλειψη των βασικών αδυναμιών ασφάλειας — όπως η χρήση ονομάτων χρήστη και κωδικών πρόσβασης σε μη κρυπτογραφημένα κανάλια για πρόσβαση σε υπηρεσίες cloud.
Η Microsoft, για παράδειγμα, θα καταργήσει τη δυνατότητα χρήσης βασικού ελέγχου ταυτότητας για την υπηρεσία Exchange Online από την 1η Οκτωβρίου, απαιτώντας από τους πελάτες της να χρησιμοποιούν αντ' αυτού έλεγχο ταυτότητας που βασίζεται σε διακριτικά. Η Google εν τω μεταξύ έχει εγγράψει αυτόματα 150 εκατομμύρια ανθρώπους στη διαδικασία επαλήθευσης δύο βημάτων και ο διαδικτυακός πάροχος cloud Rackspace σχεδιάζει να απενεργοποιήσει τα πρωτόκολλα ηλεκτρονικού ταχυδρομείου καθαρού κειμένου έως το τέλος του έτους.
Οι προθεσμίες είναι μια προειδοποίηση για τις εταιρείες ότι οι προσπάθειες να διασφαλίσουν την πρόσβασή τους στις υπηρεσίες cloud δεν μπορούν πλέον να αναβληθούν, λέει ο Pieter Arntz, ερευνητής πληροφοριών για κακόβουλο λογισμικό στο Malwarebytes, ο οποίος έγραψε μια πρόσφατη ανάρτηση στο blog επισημαίνοντας την επερχόμενη προθεσμία για τους χρήστες του Microsoft Exchange Online.
«Νομίζω ότι η ισορροπία αλλάζει στο σημείο που νιώθουν ότι μπορούν να πείσουν τους χρήστες ότι η επιπλέον ασφάλεια είναι προς το συμφέρον τους, ενώ προσπαθούν να προσφέρουν λύσεις που εξακολουθούν να είναι σχετικά εύχρηστες», λέει. «Η Microsoft είναι συχνά διαμορφωτής των τάσεων και ανακοίνωσε αυτά τα σχέδια πριν από χρόνια, αλλά θα βρείτε ακόμα οργανισμούς να δυσκολεύονται και να αγωνίζονται να λάβουν τα κατάλληλα μέτρα».
Παραβιάσεις που σχετίζονται με την ταυτότητα σε άνοδο
Ενώ ορισμένες εταιρείες που συνειδητοποιούν την ασφάλεια έχουν αναλάβει την πρωτοβουλία να εξασφαλίσουν την πρόσβαση σε υπηρεσίες cloud, άλλες πρέπει να παρακινηθούν — κάτι που οι πάροχοι cloud, όπως η Microsoft, είναι όλο και πιο πρόθυμοι να το κάνουν, ειδικά καθώς οι εταιρείες αγωνίζονται με περισσότερες παραβιάσεις που σχετίζονται με την ταυτότητα. Το 2022, το 84% των εταιρειών υπέστη παραβίαση που σχετίζεται με την ταυτότητα, από 79% τα προηγούμενα δύο χρόνια, σύμφωνα με Identity Defined Security Allianceτης έκθεσης «2022 Trends in Securing Digital Identities».
Η απενεργοποίηση βασικών μορφών ελέγχου ταυτότητας είναι ένας απλός τρόπος για να αποκλείσετε τους εισβολείς, οι οποίοι χρησιμοποιούν όλο και περισσότερο το γέμισμα διαπιστευτηρίων και άλλες προσπάθειες μαζικής πρόσβασης ως πρώτο βήμα για την παραβίαση των θυμάτων. Οι εταιρείες με αδύναμο έλεγχο ταυτότητας αφήνονται ανοιχτές σε επιθέσεις ωμής βίας, κατάχρηση επαναχρησιμοποιημένων κωδικών πρόσβασης, διαπιστευτηρίων που έχουν κλαπεί μέσω ηλεκτρονικού ψαρέματος και παραβιασμένων περιόδων σύνδεσης.
Και μόλις οι εισβολείς αποκτήσουν πρόσβαση σε εταιρικές υπηρεσίες email, μπορούν να διεισδύσουν ευαίσθητες πληροφορίες ή να πραγματοποιήσουν επιβλαβείς επιθέσεις, όπως επιθέσεις επιχειρηματικού email (BEC) και επιθέσεις ransomware, λέει ο Igal Gofman, επικεφαλής έρευνας για την Ermetic, έναν πάροχο ασφάλειας ταυτότητας για το cloud. Υπηρεσίες.
«Η χρήση αδύναμων πρωτοκόλλων ελέγχου ταυτότητας, ειδικά στο cloud, μπορεί να είναι πολύ επικίνδυνη και να οδηγήσει σε μεγάλες διαρροές δεδομένων», λέει. «Τα έθνη-κράτη και οι εγκληματίες του κυβερνοχώρου καταχρώνται συνεχώς αδύναμα πρωτόκολλα ελέγχου ταυτότητας εκτελώντας μια ποικιλία διαφορετικών επιθέσεων ωμής βίας κατά των υπηρεσιών cloud».
Τα οφέλη από τη στήριξη της ασφάλειας του ελέγχου ταυτότητας μπορεί να έχουν άμεσα οφέλη. Η Google διαπίστωσε ότι η αυτόματη εγγραφή ατόμων στη διαδικασία επαλήθευσης δύο βημάτων οδήγησε σε μείωση κατά 50% των παραβιάσεων λογαριασμών. Σημαντική μερίδα των εταιρειών που υπέστησαν παραβίαση (43%) πιστεύουν ότι η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων θα μπορούσε να είχε σταματήσει τους εισβολείς, σύμφωνα με την έκθεση «2022 Trends in Securing Digital Identities» της IDSA.
Edge Toward Toward Zero-Trust Architectures
Επιπλέον, σύννεφο και πρωτοβουλίες μηδενικής εμπιστοσύνης έχουν οδηγήσει στην επιδίωξη πιο ασφαλών ταυτοτήτων, με περισσότερες από τις μισές εταιρείες να επενδύουν στην ασφάλεια ταυτότητας ως μέρος αυτών των πρωτοβουλιών, σύμφωνα με την Τεχνική Ομάδα Εργασίας της IDSA, σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη Dark Reading.
Για πολλές εταιρείες, η απομάκρυνση από απλούς μηχανισμούς επαλήθευσης ταυτότητας που βασίζονται μόνο στα διαπιστευτήρια ενός χρήστη έχει υποκινηθεί από ransomware και άλλες απειλές, οι οποίες έχουν κάνει τις εταιρείες να κοιτάζουν να ελαχιστοποιούν την επιφάνεια της επίθεσης και να σκληρύνουν τις άμυνες όπου μπορούν. Έγραψε η ομάδα.
«Καθώς η πλειονότητα των εταιρειών επιταχύνει τις πρωτοβουλίες μηδενικής εμπιστοσύνης, εφαρμόζουν επίσης ισχυρότερο έλεγχο ταυτότητας όπου αυτό είναι εφικτό — αν και είναι εκπληκτικό το γεγονός ότι υπάρχουν ακόμα ορισμένες εταιρείες που παλεύουν με τα βασικά ή [που] δεν έχουν ακόμη ασπαστεί τη μηδενική εμπιστοσύνη. αφήνοντάς τους εκτεθειμένους», έγραψαν οι ερευνητές εκεί.
Τα εμπόδια για ασφαλείς ταυτότητες παραμένουν
Κάθε μεγάλος πάροχος cloud προσφέρει έλεγχο ταυτότητας πολλαπλών παραγόντων μέσω ασφαλών καναλιών και χρησιμοποιώντας ασφαλή διακριτικά, όπως το OAuth 2.0. Ενώ η ενεργοποίηση της δυνατότητας μπορεί να είναι απλή, η διαχείριση της ασφαλούς πρόσβασης μπορεί να οδηγήσει σε αύξηση της εργασίας για το τμήμα IT — κάτι για το οποίο οι επιχειρήσεις πρέπει να είναι έτοιμες, λέει ο Arntz της Malwarebytes.
Οι εταιρείες «μερικές φορές αποτυγχάνουν όταν πρόκειται να διαχειριστούν ποιος έχει πρόσβαση στην υπηρεσία και ποιες άδειες απαιτούν», λέει. "Είναι ο επιπλέον όγκος εργασίας για το προσωπικό πληροφορικής που συνοδεύεται από υψηλότερο επίπεδο ελέγχου ταυτότητας - αυτό είναι το σημείο συμφόρησης."
Ερευνητές στην Τεχνική Ομάδα Εργασίας της IDSA εξήγησαν ότι η κληρονομιά υποδομή είναι επίσης ένα εμπόδιο.
"Ενώ η Microsoft βρίσκεται στη διαδικασία μετακίνησης των πρωτοκόλλων ελέγχου ταυτότητας προς τα εμπρός για αρκετό καιρό, η πρόκληση της μετεγκατάστασης και της συμβατότητας προς τα πίσω για εφαρμογές, πρωτόκολλα και συσκευές παλαιού τύπου έχει καθυστερήσει την υιοθέτησή τους", σημείωσαν. «Είναι καλά νέα που διαφαίνεται το τέλος για τη βασική αυθεντία».
Οι υπηρεσίες που εστιάζουν στους καταναλωτές καθυστερούν επίσης να υιοθετήσουν πιο ασφαλείς προσεγγίσεις στον έλεγχο ταυτότητας. Ενώ η κίνηση της Google βελτίωσε την ασφάλεια για πολλούς καταναλωτές και η Apple έχει ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων για περισσότερο από το 95% των χρηστών της, ως επί το πλείστον οι καταναλωτές συνεχίζουν να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων μόνο για λίγες υπηρεσίες.
Ενώ σχεδόν τα δύο τρίτα των εταιρειών (64%) έχουν εντοπίσει πρωτοβουλίες για την εξασφάλιση ψηφιακών ταυτοτήτων ως μία από τις τρεις πρώτες προτεραιότητές τους το 2022, μόνο το 12% των οργανισμών έχουν εφαρμόσει έλεγχο ταυτότητας πολλαπλών παραγόντων για τους χρήστες τους, σύμφωνα με την έκθεση της IDSA. Ωστόσο, οι εταιρείες προσπαθούν να παρέχουν την επιλογή, με το 29% των παρόχων cloud που εστιάζουν στους καταναλωτές να εφαρμόζουν επί του παρόντος καλύτερο έλεγχο ταυτότητας και το 21% να σχεδιάζει για το μέλλον.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
